Det var i tisdags kväll svensk tid som Microsoft sin vara trogen publicerade ett antal säkerhetsuppdateringar inom ramen för den vanliga patchtisdagen. Den mest uppmärksammade sårbarheten är ett fel i Windows validering av certifikat som används för signering av kod, https-sessioner och vpn-uppkopplingar. Denna sårbarhet upptäcktes och rapporterades av den amerikanska säkerhetsmyndigheten NSA, som för första gången någonsin valde att rapportera en sårbarhet till en systemleverantör.

Microsoft valde att allvarlighetsklassa sårbarheten CVE-2020-0601 som ”important” och inte ”critical” eftersom ingen attack fanns i det vilda. Men det tog bara ett dygn innan en säkerhetsforskare kunde demonstrera ett praktiskt utnyttjande av sårbarheten, och dessutom på ett rätt spektakulärt sätt. Sårbarheten gäller för Windows 10 och Server 2016 och 2019, rapporterar Ars Technica.

Forskare "rickrollade" NSA:s egen domän

Fenomenet kallas Rickrolling, att på ett skämtsamt och harmlöst sätt demonstrera en sårbarhet eller säkerhetsrisk genom att spela upp en Rick Astley-video på ett sätt som inte borde gå. Säkerhetsforskaren Saleem Rashid twittrade igår en demonstration där han uppenbarligen ”rickrollar” ”Never gonna give you up” på vad som likaledes uppenbarligen ser ut att vara domänen nsa.gov, alltså den amerikanska säkerhetstjänstens webbsajt. Det går även att se videon på github.com – antagligen en släng till Microsoft som äger Github.

Detta fungerar genom att angriparen skapar ett falskt certifikat för en domän som Windows sedan validerar som äkta. Detta beror i sin tur på att valideringsfunktionen i Windows inte kontrollerar en av fyra parametrar för ECC-kryptering (elliptic-curve cryptography) som kallas ”base point generator”. Detta får webbläsare som Edge och Internet Explorer att tro att certifikatet är äkta.

Det finns vissa hinder som gör det svårare att utnyttja sårbarheten i en verklig attack. Antingen krävs en mannen-i-mitten-attack, eller så måste offret klicka på en länk till den falska sajten. Det krävs också att användaren nyligen har besökt en sajt med ett tls-certifikat länkat till ett ecc-signerat root-certifikat, men det senare går troligen att lösa med ett javascript. Dessutom fungerar inte attacker på Chrome eftersom Google använder en teknik som kallas ”certificate pinning” för google.com och andra viktiga domäner. Denna teknik använder en hash för att validera certifikaten utöver de fyra ecc-parametrarna.

Inser hur sårbarheten kan utnyttjas

Samtidigt som Microsoft klassade sårbarheten som ”important” valde NSA själva att klassa den som ”severe” och tillade att det förvisso inte finns en attack i det vilda idag, men att man snabbt kan utveckla en attack. Anledningen går bara att spekulera i, men det är inte en vild gissning att NSA mycket väl vet hur sårbarheten kan utnyttjas och förstår givetvis att andra snabbt kommer att upptäcka hur. Saleem Rashids ”hack” är ett skript med hundra rader kod som skulle kunna komprimeras till tio rader kod.

Microsoft har som sagt släppt en patch som rullas ut i den normala automatiska uppdateringsfunktionen i Windows. Den som inte ser att uppdateringen är installerad på sina system bör uppdatera omedelbart.

Uppdateringar för olika versionen av Windows finns här:

Tekniska beskrivningar av sårbarheten finns här och här:

Läs också:
Allvarlig bugg i Windows – hittades av NSA
Forskare varnar för allvarlig sårbarhet i Citrix-servrar